การโจมตีทางไซเบอร์จากเกาหลีเหนือในปี 2025
แฮกเกอร์จาก สาธารณรัฐประชาธิปไตยประชาชนเกาหลี หรือที่รู้จักกันในชื่อ DPRK หรือ เกาหลีเหนือ ได้ขโมยเงินคริปโตมูลค่า 2.02 พันล้านดอลลาร์ ในปี 2025 ตามรายงานของ Chainalysis ที่เปิดเผยเมื่อวันพฤหัสบดี ซึ่งแสดงให้เห็นถึงการเพิ่มขึ้น 51% จากตัวเลขของปีที่แล้ว และเป็นปีที่มีการขโมยเงินคริปโตที่เกี่ยวข้องกับ DPRK มากที่สุดในประวัติศาสตร์
สถิติการขโมยเงินคริปโต
โดยรวมแล้ว เงินคริปโตได้เห็นการขโมยรวม 3.4 พันล้านดอลลาร์ ในปีนี้ รายงานระบุ ซึ่งหมายความว่าการโจมตีจาก DPRK คิดเป็น 59% ของเงินที่ถูกขโมย
การพัฒนาของการโจมตี
Chainalysis เชื่อว่าข้อมูลนี้แสดงให้เห็นถึง “การพัฒนา” จากเกาหลีเหนือ เนื่องจากพวกเขาเริ่มทำการโจมตีที่น้อยลงแต่สร้างความเสียหายได้มากขึ้นในแต่ละครั้ง การโจมตี Bybit มูลค่า 1.5 พันล้านดอลลาร์ ในเดือนกุมภาพันธ์ ซึ่ง FBI เชื่อมโยงกับ DPRK เป็นตัวอย่างสำคัญของการพัฒนานี้
“สำหรับอุตสาหกรรมคริปโตเคอเรนซี การพัฒนานี้ต้องการการเฝ้าระวังที่เพิ่มขึ้นรอบเป้าหมายที่มีมูลค่าสูงและการตรวจจับรูปแบบการฟอกเงินเฉพาะของ DPRK ที่ดีขึ้น”
รูปแบบการฟอกเงิน
Chainalysis อ้างว่าได้ระบุรูปแบบการฟอกเงินที่แตกต่างกันสามระลอก ซึ่งใช้เวลานาน 45 วัน ที่ผู้โจมตี DPRK มักจะปฏิบัติตาม ตัวระบุรวมถึงการใช้บริการที่ใช้ภาษาจีน การพึ่งพาทรัพย์สินที่เชื่อมโยงข้ามเชนอย่างหนักเพื่อทำให้การติดตามสับสน และการใช้บริการผสมคริปโตมากขึ้น
การตอบสนองของอุตสาหกรรม
รายงานระบุว่ารูปแบบนี้ยังคงมีอยู่ในช่วงไม่กี่ปีที่ผ่านมา Chainalysis ไม่ได้ตอบสนองต่อคำขอของ Decrypt เกี่ยวกับวิธีที่นักวิเคราะห์รู้ว่าการโจมตีเหล่านี้มาจาก DPRK และไม่ใช่กลุ่มอื่น ๆ
การโจมตีที่เพิ่มขึ้นมาจากนักแสดงที่เป็นอันตรายที่ถูกจ้างโดยบริษัทคริปโต ผู้โจมตีจะทำงานเพื่อให้ได้การเข้าถึงที่มีสิทธิพิเศษก่อนที่จะขโมยข้อมูลสำคัญหรือเงิน
การจ้างงานของผู้โจมตี
Binance บอกกับ Decrypt ในฤดูร้อนว่าผู้แฮกเกอร์ชาวเกาหลีเหนือพยายามที่จะถูกจ้างโดยการแลกเปลี่ยนที่มีศูนย์กลางใหญ่ทุกวัน Jimmy Su เจ้าหน้าที่รักษาความปลอดภัยของ Binance อธิบายว่าผู้โจมตีอาจใช้วิดีโอสดที่สร้างโดย AI และการเปลี่ยนเสียงในการโทรเพื่อพยายามที่จะถูกจ้าง
การป้องกันภัยคุกคาม
การแลกเปลี่ยนได้ระบุสัญญาณบ่งชี้ทั่วไปหลายประการของผู้โจมตี DPRK และแบ่งปันข้อมูลนี้กับการแลกเปลี่ยนคริปโตอื่น ๆ ผ่าน Telegram และ Signal
นอกจากนี้ แฮกเกอร์ชาวเกาหลีเหนือยังถูกพบว่าทำการปนเปื้อนแพ็คเกจ NPM ซึ่งเป็นไลบรารีโค้ดสาธารณะที่ใช้กันอย่างแพร่หลาย เพื่อแทรกซึมโครงการต่าง ๆ อีกครั้ง Binance ยอมรับภัยคุกคามนี้และอ้างว่าผู้พัฒนาของตนต้องผ่านไลบรารีโค้ดทุกตัวอย่างละเอียด
ข้อสรุป
“เมื่อเกาหลีเหนือยังคงใช้การขโมยคริปโตเพื่อสนับสนุนลำดับความสำคัญของรัฐและหลีกเลี่ยงการคว่ำบาตรระหว่างประเทศ อุตสาหกรรมต้องตระหนักว่าผู้กระทำการนี้ดำเนินการตามกฎที่แตกต่างจากอาชญากรไซเบอร์ทั่วไป”
รายงานของ Chainalysis กล่าว “ผลการดำเนินงานที่ทำลายสถิติในปี 2025 ของประเทศ—ซึ่งเกิดขึ้นจากการโจมตีที่รู้จักน้อยลง 74%—แสดงให้เห็นว่าเราอาจเห็นเพียงส่วนที่มองเห็นได้มากที่สุดของกิจกรรมของพวกเขา”
“ความท้าทายสำหรับปี 2026 จะอยู่ที่การตรวจจับและป้องกันการดำเนินการที่มีผลกระทบสูงเหล่านี้ก่อนที่ผู้ที่เกี่ยวข้องกับ DPRK จะสร้างเหตุการณ์ในระดับ Bybit อีกครั้ง” รายงานสรุป
